Accueil Data Privacy Management, l’ERP de la donnée personnelle

Data Privacy Management, l’ERP de la donnée personnelle

> Le logiciel d’analyse d’impact PIA de la CNIL est bien adapté au travail du DPO mais pas à une grande structure où de multiples interlocuteurs sont amenés à collaborer autour de la protection de la donnée.

Gérer la donnée personnelle de bout en bout, telle est la vocation des plateformes de Data Privacy Management. Un marché qui, 3 ans après l’entrée en vigueur du RGPD, est en train d’exploser.

 

Avec une croissance record de 46,1 % en 2020, le marché des plateformes de Data Privacy Management connaît son âge d’or. IDC évoque une croissance annuelle de l’ordre de 14,3 % et les ventes de ces logiciels ont doublé entre 2020 et 2025 pour atteindre 2,3 milliards de dollars.

Pourquoi s’intéresser aujourd’hui à de telles plateformes 3 ans après l’entrée en vigueur du RGPD ? Pour beaucoup de grandes entreprises, le chantier de la conformité reste ouvert. Toutes les problématiques n’ont pas été totalement traitées à l’occasion de l’entrée en vigueur du RGPD. Les outils de PIA de la CNIL sont insuffisants pour les grandes structures et la jurisprudence continue à évoluer, notamment sur le volet transfert des données personnelles en dehors de l’Union Européenne, la jurisprudence Schrems 2. Florence Bonnet, Partner chez TNP Consultants, souligne : « Beaucoup de chantiers sont encore en cours dans les entreprises vis-à-vis de ce volet protection des données et nous recevons encore de nombreux appels d’offres sur cette thématique en ce moment. » Pour l’expert en protection des données, le sujet RGPD a souvent été pris sous un angle uniquement juridique alors qu’il s’agit d’un sujet transverse et qui implique un volet IT bien souvent négligé : « Les entreprises ont rapidement constaté que l’approche Excel avait ses limites. Il est difficile de tenir à jour autant de fichiers Excel qu’il y a d’entités dans un grand groupe, quand les traitements bougent beaucoup, c’est rapidement très compliqué. Une plateforme permet de gérer ces mises à jour plus facilement, mais aussi de réellement piloter la conformité en attribuant des tâches aux personnes en charge de la mise en oeuvre de la conformité, le DPO, ainsi que celles qui sont en charge de la sécurité. »

« Collibra fournit la seule plateforme de Data Intelligence de bout en bout qui aide à unir les organisations en fournissant des informations précises et fiables pour chaque utilisation, pour chaque utilisateur et pour chaque source. »

Aurélien Goujet, Collibra

Une plateforme dédiée à tous les aspects de la protection des données

Une plateforme de DPM et ses multiples modules permet aussi de centraliser toute la documentation, gérer le registre des traitements mais aussi les demandes à exercer leur droit de consultation modification et retrait des personnes, gérer les violations de droits, mener des évaluations des tiers et des sous-traitants, ou, par exemple, la gestion des consentements liés aux profils. One Trust s’est imposé comme le leader mondial de ce type de solutions, notamment auprès des grandes structures qui ont les moyens d’investir et qui ont atteint un certain niveau de maturité. IDC estime que l’éditeur détient plus de 40 % de ce marché, devant Collibra, TrustArc, BigID et Securiti. Andrew Clearwater, Chief Privacy Officer de OneTrust, évoque la stratégie du leader de l’éditeur : « OneTrust est la plateforme de protection des données, de sécurité et de confiance la plus utilisée par plus de 10 000 entreprises. Alors que les clients de OneTrust développaient leurs programmes de protection des données, il était clair qu’ils avaient des objectifs plus larges de différenciation par la confiance et la transparence. Pour obtenir ce résultat, OneTrust a augmenté l’étendue de sa plateforme afin de fournir une technologie de confiance définissant les départements de l’entreprise qui regroupent la protection des données, les risques liés aux tiers, la gouvernance des données, la GRC, l’éthique et la conformité, et l’ESG (Environmental, Social & Governance) dans des flux de travail opérationnels intégrés. »

Des offres plus simples et moins coûteuses pour le midmarket

Néanmoins, ces grandes plateformes de bout en bout sont jugées par beaucoup d’entreprises comme bien trop complexes et coûteuses. Des éditeurs proposent des alternatives plus simples à mettre en oeuvre et accessibles pour quelques milliers d’euros par an seulement. Parmi ces solutions, Smart Global Gouvernance ou encore Data Legal Drive, une solution choisie par l’Institut Pasteur de Lille. Maxime Biot, Head of the Legal, Compliance and Research Promotion Department et DPO de l’Institut, souligne : « La solution Data Legal Drive est conçue à l’image d’un CRM qui serait dédié à la donnée personnelle, avec de solides fonctions collaboratives qui permettent de partager l’information en interne de façon très organisée. Elle s’adresse tant à des PME qu’aux grands groupes. Les entreprises qui n’ont pas d’expert juridique en interne apprécieront notamment les clauses de contrat pré-rédigées qu’il suffit d’ajouter aux contrats des sous-traitants et contractants. »

Si les plateformes de Data Privacy Management permettent d’assurer la conformité aux règlements relatifs à la protection des données, est-il pour autant possible de dégager un ROI de tels investissements ? Ces solutions sont déployées à des fins de conformité mais, la protection des données va devenir un avantage concurrentiel pour les entreprises et changer la perception de la donnée dans les organisations. Instaurer un cercle vertueux autour de la donnée, c’est aussi l’une des promesses des solutions de Data Privacy Management.